1. 소개

KMS는 Key Management Service의 약자다. 고객 마스터 키라고 불리는 CMK가 있는데, 이 CMK는 데이터 암호화에 사용하는 암호화 키다.

KMS는 이 CMK를 쉽게 생성하고 제어하는 관리형 서비스다.


2. 키 생성

아마존 콘솔에서, 혹은 CreateKey 작업을 통해 CMK를 생성할 수 있다. 

생성 작업 중에는 CMK의 암호화 구성, 구성요소의 출처, 정책 등을 결정하게 된다. 키 정책은 나중에 변경 가능하지만, 암호화 구성이나 구성요소의 출처는 변경할 수 없는 속성이다.

CMK의 생성은 대칭 CMK와 비대칭 CMK로 크게 구분된다.

  • 대칭키 암호화는 동일한 키를 사용하여 데이터를 암호화하고 해독
  • 비대칭 암호화는 암호화 또는 서명에 사용 가능한 퍼블릭 및 프라이빗 키 페어

3. 키 인증 

다음과 같은 방법으로 액세스 할 수 있다.

  • 계정 루트 사용자 : 즉 루트 자격 증명으로 액세스한다.
  • IAM 사용자 : 특정 권한을 가진 IAM 사용자이다. 특정 권한이라 함은 CMK 사용 권한 등임.
  • IAM 역할 : 특정 권한이 있는 IAM 자격 증명이다. IAM 사용자와 유사하나 특정 개인과 연결되지 않는다는 차이점이 있다. 

4. 활용 예

4.1. 스토리지 및 데이터 암호화

  • 각 Account의 EBS, RDS는 Account용 KMS CMK로 암호화한다. (KMS CMK는 Security Account에서 통합 관리 가능)